Xakerlar Deloitte xalqaro kompaniyasining asosiy pochta serveriga kirish imkoniga ega bo‘lishdi. Ushbu server uchun administrator hisobi faqat parol bilan himoyalangan.
Mustaqil avstriyalik tadqiqotchi Devid Vind Google intranetiga kirish sahifasida zaiflikni aniqlagani uchun 5 dollar mukofot oldi.
Rossiya kompaniyalarining 91 foizi ma'lumotlar sizib chiqishini yashiradi.
Bunday yangiliklarni deyarli har kuni Internet yangiliklar lentalarida topish mumkin. Bu kompaniyaning ichki xizmatlari himoya qilinishi kerakligining bevosita dalilidir.
Kompaniya qanchalik katta bo'lsa, uning xodimlari qanchalik ko'p bo'lsa va uning ichki IT infratuzilmasi qanchalik murakkab bo'lsa, uning uchun ma'lumotlarning tarqalishi muammosi shunchalik dolzarb bo'ladi. Qanday ma'lumotlar hujumchilarni qiziqtiradi va uni qanday himoya qilish kerak?
Qanday ma'lumotlarning tarqalishi kompaniyaga zarar etkazishi mumkin?
- mijozlar va operatsiyalar to'g'risidagi ma'lumotlar;
- texnik mahsulot haqida ma'lumot va nou-xau;
- hamkorlar va maxsus takliflar haqida ma'lumot;
- shaxsiy ma'lumotlar va buxgalteriya hisobi.
Va agar siz yuqoridagi ro'yxatdagi ba'zi ma'lumotlarga tarmoqingizning istalgan segmentidan faqat login va parol taqdim etilgandan so'ng kirish mumkinligini tushunsangiz, ma'lumotlar xavfsizligi darajasini oshirish va uni ruxsatsiz kirishdan himoya qilish haqida o'ylashingiz kerak.
Uskuna kriptografik vositalar (tokenlar yoki smart-kartalar) yordamida ikki faktorli autentifikatsiya juda ishonchli va shu bilan birga ulardan foydalanish juda oson ekanligi bilan shuhrat qozondi.
Ikki faktorli autentifikatsiyaning afzalliklari haqida deyarli har bir maqolada yozamiz. Bu haqda ko'proq maqolalarda o'qishingiz mumkin и .
Ushbu maqolada biz sizga tashkilotingizning ichki portallariga kirish uchun ikki faktorli autentifikatsiyadan qanday foydalanishni ko'rsatamiz.
Misol sifatida biz korporativ foydalanish uchun eng mos modelni olamiz, Rutoken - kriptografik USB token. .
Keling, sozlashni boshlaylik.
1-qadam - Serverni sozlash
Har qanday serverning asosini operatsion tizim tashkil qiladi. Bizning holatda, bu Windows Server 2016. Va u va Windows oilasining boshqa operatsion tizimlari bilan bir qatorda IIS (Internet Information Services) tarqatiladi.
IIS - bu veb-server va FTP-serverni o'z ichiga olgan Internet-serverlar guruhi. IIS veb-saytlarni yaratish va boshqarish uchun ilovalarni o'z ichiga oladi.
IIS domen yoki Active Directory tomonidan taqdim etilgan foydalanuvchi hisoblari yordamida veb-xizmatlarni yaratish uchun mo'ljallangan. Bu mavjud foydalanuvchi ma'lumotlar bazalaridan foydalanish imkonini beradi.
В Sertifikatlash markazini serveringizga qanday o'rnatish va sozlashni batafsil bayon qildik. Endi biz bu haqda batafsil to'xtalmaymiz, lekin hamma narsa allaqachon sozlangan deb taxmin qilamiz. Veb-server uchun HTTPS sertifikati to'g'ri chiqarilishi kerak. Buni darhol tekshirish yaxshidir.
Windows Server 2016 o'rnatilgan IIS 10.0 versiyasi bilan birga keladi.
Agar IIS o'rnatilgan bo'lsa, uni to'g'ri sozlash qoladi.
Rol xizmatlarini tanlash bosqichida biz katakchani belgiladik Asosiy autentifikatsiya.
Keyin ichkariga Internet axborot xizmatlari menejeri kiritilgan Asosiy autentifikatsiya.
Va veb-server joylashgan domenni ko'rsatdi.
Keyin biz sayt havolasini qo'shdik.
Va SSL parametrlarini tanladi.
Bu serverni sozlashni yakunlaydi.
Ushbu amallarni bajargandan so'ng, faqat sertifikatga ega bo'lgan token va token PIN-kodi bo'lgan foydalanuvchi saytga kira oladi.
Shunga ko'ra yana bir bor eslatib o'tamiz , foydalanuvchiga avval kalitlari bilan token va shunga o'xshash shablonga muvofiq berilgan sertifikat berilgan Smart kartaga ega foydalanuvchi.
Endi foydalanuvchi kompyuterini sozlashga o'tamiz. U himoyalangan veb-saytlarga ulanish uchun foydalanadigan brauzerlarni sozlashi kerak.
2-qadam — Foydalanuvchi kompyuterini sozlash
Oddiylik uchun foydalanuvchimizda Windows 10 bor deb faraz qilaylik.
Shuningdek, u to'plamni o'rnatgan deb faraz qilaylik .
Drayvlar to'plamini o'rnatish ixtiyoriy, chunki tokenni qo'llab-quvvatlash Windows Update orqali keladi.
Ammo agar bu to'satdan sodir bo'lmasa, Windows uchun Rutoken drayverlari to'plamini o'rnatish barcha muammolarni hal qiladi.
Keling, tokenni foydalanuvchi kompyuteriga ulaymiz va Rutoken boshqaruv panelini ochamiz.
Yorliqda Sertifikat Agar belgilanmagan bo'lsa, kerakli sertifikat yonidagi katakchani belgilang.
Shunday qilib, biz token ishlayotganini va kerakli sertifikat mavjudligini tekshirdik.
Firefox-dan tashqari barcha brauzerlar avtomatik ravishda sozlangan.
Ular bilan maxsus hech narsa qilish shart emas.
Endi istalgan brauzerni oching va manba manzilini kiriting.
Sayt yuklanishidan oldin sertifikat tanlash oynasi, so'ngra token PIN kodini kiritish uchun oyna ochiladi.
Agar Aktiv ruToken CSP qurilma uchun standart kriptoprovayder sifatida tanlansa, PIN kodni kiritish uchun boshqa oyna ochiladi.
Va faqat uni brauzerga muvaffaqiyatli kiritgandan so'ng bizning veb-saytimiz ochiladi.
Firefox brauzeri uchun qo'shimcha sozlamalar o'rnatilishi kerak.
Brauzer sozlamalarida tanlang Maxfiylik va xavfsizlik. Bo'limda Sertifikat tugmasini bosing Himoya qurilmasi... Oyna ochiladi Qurilmani boshqarish.
Bosing Yuklash, Rutoken EDS nomini va C:windowssystem32rtpkcs11ecp.dll yo'lini ko'rsating.
Hammasi shunday, Firefox endi tokenni qanday boshqarishni biladi va undan foydalanib saytga kirish imkonini beradi.
Aytgancha, veb-saytlarga token yordamida kirish Safari, Chrome va Firefox brauzeridagi Mac kompyuterlarida ham ishlaydi.
Rutoken-ni veb-saytdan o'rnatishingiz kifoya va undagi tokendagi sertifikatga qarang.
Safari, Chrome, Yandex va boshqa brauzerlarni sozlashning hojati yo'q, faqat ushbu brauzerlarning istalganida saytni ochishingiz kerak.
Firefox brauzeri Windows-dagi kabi deyarli bir xil tarzda sozlangan (Sozlamalar - Kengaytirilgan - Sertifikatlar - Xavfsizlik qurilmalari). Faqat kutubxonaga boradigan yo'l biroz boshqacha /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
topilmalar
Sizga kriptografik tokenlardan foydalangan holda veb-saytlarda ikki faktorli autentifikatsiyani qanday o'rnatishni ko'rsatdik. Har doimgidek, buning uchun bizga Rutoken tizim kutubxonalaridan tashqari hech qanday qo'shimcha dasturiy ta'minot kerak emas edi.
Siz ushbu protsedurani har qanday ichki resurslaringiz bilan bajarishingiz mumkin, shuningdek, Windows Serverning istalgan joyidagi kabi saytga kirish huquqiga ega bo'lgan foydalanuvchilar guruhlarini moslashuvchan tarzda sozlashingiz mumkin.
Server uchun boshqa operatsion tizimdan foydalanasizmi?
Agar siz boshqa operatsion tizimlarni o'rnatish haqida yozishimizni istasangiz, maqolaga sharhlarda bu haqda yozing.
Manba: www.habr.com